Kommt bald das „Cookie“-Gesetz? Referentenentwurf TTDSG

Aktuell kursiert ein Referentenentwurf des Telekommunikations-Telemedien-Datenschutz-Gesetzes, oder ganz schnieke kurz – TTDSG. Dies soll laut Entwurf das aktuelle Nebeneinander von DSGVO, TMG und TKG und die damit einhergehenden Rechtsunsicherheiten bei Verbrauchern, Diensteanbietern und Aufsichtsbehörden beseitigen. Geregelt werden soll dabei auch die Cookie-Regelung in § 15 Abs.3 TMG. Der Gesetzentwurf enthält in Artikel 1 die zur Umsetzung der Richtlinie 2002/58/EG erforderlichen Bestimmungen, die derzeit im TKG enthalten sind. Die Datenschutzbestimmungen des TMG werden aufgehoben, soweit sie aufgrund des Vorrangs der Datenschutz-Grundverordnung nicht mehr anwendbar sind.

Wichtigste Punkte

Der Referentenentwurf des TTDSG zielt darauf ab, Rechtsunsicherheiten zwischen DSGVO, TMG und TKG zu beseitigen.
Die wichtigsten Bestimmungen zur Cookie-Regelung werden in § 15 Abs.3 des TMG behandelt und klarer geregelt.
Die Aufsicht über Datenschutz wird von der Bundesbeauftragte für den Datenschutz unabhängig gestaltet.
Das TTDSG soll am 21. Dezember 2020 in Kraft treten, gleichzeitig mit Anforderungen der Richtlinie 2018/1972/EU.
Die umstrittene Umsetzung von Cookies wird in Artikel 5 der E-Privacy-Richtlinie geklärt, Grundlage ist ein Urteil des Bundesgerichtshofes.
Einwilligungen für Cookies sind entbehrlich, wenn sie technisch erforderlich sind, vertraglich vereinbart oder gesetzlich gefordert sind.
Eine mögliche zukünftige Alternative könnte eine Browsereinstellung zur Cookie-Akzeptanz sein, um Banner zu reduzieren.

Das neue TTDSG (Artikel 1) enthält die Bestimmungen, die bisher in den §§ 88-107 TKG zur Umsetzung der Richtlinie 2002/58/EG enthalten waren, sowie weitere Bestimmungen, die bisher dort geregelt sind und die nicht durch die DSGVO ersetzt wurden. Es wird eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen geschaffen.

Weiterhin erfolgen Klarstellungen im Hinblick auf Endeinrichtungen, auf die aufgrund vertraglicher Vereinbarung oder gesetzlicher Anordnung zugegriffen werden darf. Die Aufsicht wird unter dem Gesichtspunkt neu gestaltet, dass zukünftig der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit als unabhängige Datenschutzaufsichtsbehörde für die Aufsicht über die Bestimmungen zum Schutz der personenbezogenen Daten natürlicher Personen allein zuständig ist. Die Zuständigkeit der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen im Übrigen bleibt unberührt. Zudem werden die Datenschutzbestimmungen des TMG, soweit diese durch die DSGVO unberührt geblieben sind, im neuen TTDSG geregelt. Artikel 2 und 3 enthalten die Folgeänderungen durch Aufhebung der entsprechenden Bestimmungen im TKG und im TMG.

Der Entwurf gibt als Zieldatum für das Inkrafttreten den 21. Dezember 2020 aus, der zugleich Stichtag für die Umsetzung der Richtlinie 2018/1972/EU ist und deren Anforderungen auch für die Umsetzung der Richtlinie 2002/58/EG gelten.

Interessant ist zudem, dass die in Deutschland insbesondere im Hinblick auf das Setzen von Cookies umstrittene Frage der Umsetzung von Artikel 5 Absatz 3 der E-Privacy-Richtlinie mit dem Entwurf geklärt werden soll. Der Bundesgerichtshof ist in seinem Urteil vom 28. Mai 2020 (I ZR 7/16 – Cookie-Einwilligung II) davon ausgegangen, dass die Gesetzeslage in Deutschland den Anforderungen der Richtlinie entspricht. Insbesondere erlaubt § 15 Absatz 3 Satz 1 TMG in seiner geltenden Fassung in europarechtskonformer Auslegung nicht den Einsatz von Cookies ohne Einwilligung des Nutzers zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung. Neben anderen Datenschutzbestimmungen des TMG wird auch § 15 Absatz 3, der die Verarbeitung von Nutzungsdaten für die Erstellung von pseudonymen Nutzerprofilen für diese Zwecke erlaubt, solange der Nutzer nicht widerspricht, wird durch die Bestimmungen der DSGVO verdrängt und ist aufzuheben.

Ein paar – teilweise – strittige Fragen, wann die Zustimmung von z.B. Cookies entbehrlich ist, soll in § 9 II geklärt werden. So soll eine Einwilligung entbehrlich sein, wenn es

1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.

Interessant ist zudem, dass dem Entwurf entnommen werden kann, dass eine Browsereinstellung zu Akzeptanz von Cookies/Ablehnung von Cookieslaut dem BMWi ein europarechtlich gangbarer Weg und daher eine mögliche Alternative sei. Vielleicht können in Zukunft doch viele der nervige, aber aktuelle klar notwendigen, Cookie-Banner obsolet werden.

Es bleibt aber wohl abzuwarten, wie die finale Version des TTDSG aussehen wird.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.